SiteKey

SiteKey är ett webbaserat säkerhetssystem som tillhandahåller en typ av ömsesidig autentisering mellan slutanvändare och webbplatser. Dess primära syfte är att avskräcka nätfiske .

SiteKey distribuerades av flera stora finansiella institutioner 2006, inklusive Bank of America och The Vanguard Group . Både Bank of America och The Vanguard Group slutade använda 2015.

Produkten ägs av RSA Data Security som 2006 förvärvade sin ursprungliga tillverkare, Passmark Security.

Hur det fungerar

SiteKey använder följande utmaning-svar- teknik:

Användaren identifierar ( inte autentiserar) sig själv till webbplatsen genom att ange sitt användarnamn (men inte sitt lösenord). Om användarnamnet är ett giltigt, fortsätter sidan.
Om användarens webbläsare inte innehåller ett tillståndstoken på klientsidan (som en webbcookie eller en Flash-cookie ) från ett tidigare besök, uppmanas användaren att svara på en eller flera av de " säkerhetsfrågor" som användaren angav på tid för webbplatsregistrering, till exempel "Vilken skola gick du senast i?"
Webbplatsen autentiserar sig för användaren genom att visa en bild och/eller tillhörande fras som de har konfigurerat tidigare. Om användaren inte känner igen dessa som sina egna, ska de anta att webbplatsen är en nätfiskesida och omedelbart överge den. Om användaren känner igen dem kan de betrakta webbplatsen som autentisk och fortsätta.
Användaren autentiserar sig till webbplatsen genom att ange sitt lösenord. Om lösenordet inte är giltigt för det användarnamnet, börjar hela processen igen. Om det är giltigt anses användaren vara autentiserad och inloggad.

Om användaren befinner sig på en nätfiskesida med en annan webbplatsdomän än den legitima domänen, kommer användarens webbläsare att vägra skicka tillståndstoken i steg (2); ägaren av nätfiskewebbplatsen måste antingen hoppa över att visa den korrekta säkerhetsbilden eller be användaren om säkerhetsfrågorna som erhållits från den legitima domänen och skicka svaren vidare. I teorin kan detta få användaren att bli misstänksam, eftersom användaren kan bli förvånad över att bli ombedd om säkerhetsfrågor även om de nyligen har använt den legitima domänen från sin webbläsare. Men i praktiken finns det bevis för att användare i allmänhet inte märker sådana anomalier.

Svagheter

En Harvard-studie fann SiteKey 97 % ineffektiv. I praktiken märker verkliga människor inte, eller bryr sig inte, när SiteKey saknas, enligt deras resultat.

Det kräver också att användarna håller reda på mer autentiseringsinformation. Någon som är associerad med N olika webbplatser som använder SiteKey måste komma ihåg N olika 4- tupler av information: (webbplats, användarnamn, fras, lösenord) .

Avbrytande

I maj 2015 meddelade Bank of America att SiteKey skulle upphöra för alla användare i slutet av året och skulle tillåta användare att logga in med sitt användarnamn och lösenord i ett steg. I juli 2015 upphörde Vanguard också att använda SiteKey för sin webbplats.

Anteckningar

^ ^a ^b "Fler säkerhetsverktyg och enklare inloggning på Bank of America" . Arkiverad från originalet 2015-05-10 . Hämtad 2015-05-10 .
^ ^a ^b "Vi har effektiviserat processen för att logga in på Vanguard.com" . Arkiverad från originalet 2016-03-04.
^ "Vanliga frågor om Bank of America Online och Mobile Banking" .
^ Jim Youll (18 juli 2006). "Fraud Vulnerabilities in SiteKey Security at Bank of America" (PDF) . Arkiverad från originalet (PDF) 2016-12-31.
^ ^a ^b Stuart E. Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (4 februari 2007). "Kejsarens nya säkerhetsindikatorer" (PDF) .
^ Joel Hruska (20 juni 2007). "Säkerhetsstudie sticker hål i avancerade autentiseringsanspråk" . Ars Technica .
^ Schecter; Dhamija; Ozment; Fischer (2007-05-20). "Kejsarens nya säkerhetsindikatorer: En utvärdering av webbplatsautentisering och effekten av rollspel på användbarhetsstudier" ( PDF) . Arkiverad från originalet (PDF) 2007-09-27 . Hämtad 2020-04-23 . {{ citera journal }} : Citera journal kräver |journal= ( hjälp )

externa länkar

[BOARemovesSiteKey-1] "Fler säkerhetsverktyg och enklare inloggning på Bank of America" . Arkiverad från originalet 2015-05-10 . Hämtad 2015-05-10 .

[VanguardRemovesSiteKey-2] "Vi har effektiviserat processen för att logga in på Vanguard.com" . Arkiverad från originalet 2016-03-04.

[3] "Vanliga frågor om Bank of America Online och Mobile Banking" .

[4] Jim Youll (18 juli 2006). "Fraud Vulnerabilities in SiteKey Security at Bank of America" (PDF) . Arkiverad från originalet (PDF) 2016-12-31.

[usablesecurity-5] Stuart E. Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (4 februari 2007). "Kejsarens nya säkerhetsindikatorer" (PDF) .

[ArsTechnicaStudy2007-6] Joel Hruska (20 juni 2007). "Säkerhetsstudie sticker hål i avancerade autentiseringsanspråk" . Ars Technica .

[SchecterEmperorNewSecurity2007-7] Schecter; Dhamija; Ozment; Fischer (2007-05-20). "Kejsarens nya säkerhetsindikatorer: En utvärdering av webbplatsautentisering och effekten av rollspel på användbarhetsstudier" ( PDF) . Arkiverad från originalet (PDF) 2007-09-27 . Hämtad 2020-04-23 . {{ citera journal }} : Citera journal kräver |journal= ( hjälp )